Злоумышленники прячут сайты с эксплоитами при помощи Twitter API
12.11.2009
Создатели вредоносных сайтов попались на использовании Twitter API для скрытного перенаправления пользователей на свои ресурсы.
В данном случае речь идет о программируемом интерфейсе, который сайт микроблогов Twitter предоставляет администраторам законопослушных сайтов для того, чтобы они могли выводить на своих ресурсах самые популярные темы Twitter. Поскольку предпочтения аудитории сайта постоянно меняются, меняется и состав тридцати самых горячих тем.
Однако как выяснил эксперт в области безопасности Денис Синегубко, злоумышленники также с удовольствием используют Twitter API в своих замаскированных скриптах, которые служат для перенаправления жертв на вредоносные сайты, пытающиеся подобрать эксплоиты к непропатченным уязвимостям на компьютере пользователя. Для генерации имен вредоносных сайтов используется темы, популярные два дня назад, поэтому у хакеров остается день на то, чтобы зарегистрировать сгенерированное имя.
Синегубко пишет, что основной целью использования Twitter API является намерение злоумышленников скрыть вредоносные скрипты и ссылки на ресурсы от автоматизированных систем обнаружения. Все, что увидит такой сканер при выполнении скрипта – это указание на популярные запросы на одном из самых известных сайтов Интернета.
Впрочем, эксперт отмечает, что несмотря на всю свою креативность, на данный момент этот механизм работает из рук вон плохо – из всего многообразия сгенерированных доменных имен реально действующим сайтом оказался всего один, да и тот был полон внутренних ошибок.
